はじめに
Identity Domainsが使えるアカウントを触る機会があったので、いろいろと試しています。
今回は、管理者ロールを試します。
管理者ロールは、IDCS側にもともと存在していました。ただし、従来はOCI IAM側の権限も必要で、設定が面倒だったと思います。
Identity Domainsになって、OCI IAMと統合されたことにより、OCI IAM側の権限設定が不要になり設定が簡素化されたと思います。
ここでは、「ユーザー管理者」ロールを使って、ドメイン内のユーザ管理権限を別ユーザに委任してみます。
さわってみる
ユーザ管理を委任するユーザの作成
ドメイン管理者でログイン後、ドメインの設定画面に遷移します。
「ユーザー」リンクを押下して、「ユーザーの作成」ボタンを押します
ユーザ管理を委任するユーザを作成します。所属グループは指定せずに作成しました。
ロールの割り当て
ドメインの設定画面から、「セキュリティ」リンクを選択します
「管理者」のリンクを選択し、「ユーザー管理者」を選択⇒「ユーザーの追加」ボタンを押します。
先ほど作成したユーザを選択して、「ユーザーの追加」ボタンを押します
ユーザ・グループが作成できることを確認
ユーザ作成時に指定したメールアドレスにアクティベート用のメールが送信されます。初期パスワードを設定し、OCIにログインします。
ドメインの設定画面に遷移します
グループが作成できることを試します。
作れました!
続いて、ユーザを作成できることを試します。
こちらも作成できました!
ということで、ユーザ管理専用のユーザを簡単に作成することができました。
補足
管理者ロールを使わない場合は、従来どおりに、以下のようにポリシーを使って、ドメイン内のグループに権限を付与することでもユーザ/グループの作成権限を付与することもできました。でも、管理者ロールを使った方が設定が簡単・シンプルになる気がします。
allow group ドメイン名/グループ名 to manage users in tenancy
allow group ドメイン名/グループ名 to manage groups in tenancy